Recientemente, estoy tratando de encontrar mi contraseña de Windows después de ver que un software antivirus me pedía mis credenciales de Windows para iniciar sesión en mi computadora. Así que pensé que yo también podría alcanzar mis propias credenciales.
Después de investigar un poco, descubrí que nuestras credenciales están almacenadas dentro de C:\Windows\System32\config\SYSTEMla carpeta.
Entonces me gustaría preguntar;
- ¿Hay alguna manera de abrir ese archivo? ¿Cómo puedo abrirlo?
- Incluso si lo abro, ¿estará en formato legible o estará en formato cifrado?
Respuesta1
Los archivos que contiene \Windows\System32\config\son colmenas del registro. Su formato binario es técnicamente legible directamente con software de terceros, pero es, con mucho, la forma más fácil de cargarlos en Windows y acceder a ellos a través de regedit.exesoftware de terceros que utiliza las API de registro. SISTEMA (y SAM, que en realidad es donde reside la mayoría de las cosas de autenticación de Windows) están bajo la HKEY_LOCAL_MACHINEclave raíz. También puede extraer el subárbol del registro de una computadora para cargarlo en otra computadora. regedittiene una opción para abrir y montar una colmena de registro.
Tenga en cuenta que en cualquier máquina con Windows arrancada, el sistema operativo montará los subárboles de registro SYSTEM y SAM y los bloqueará para evitar el acceso a través del sistema de archivos. Puede acceder a los archivos directamente si monta el disco duro en otra máquina (o inicia desde un DVD o una unidad flash o algo así). En teoría, también puedes desmontar las secciones del registro, pero las que son críticas para el sistema, como SYSTEM y SAM, harían que la computadora dejara de funcionar de manera bastante dramática si se desmontaran, por lo que el sistema operativo no lo permitirá.
Las contraseñas de Windows se pueden almacenar de diferentes maneras, pero las más comunes son, con diferencia, los hashes NTLMv2 (específicamente, las salidas de NT One-Way Function v2, oNTOWFv2). Son relativamente fáciles de romper; utilizan los obsoletos algoritmos hash MD4 y MD5 y no contienen nada que limite la velocidad del cálculo hash (como la forma en que PBKDF2 requiere repetir el mismo proceso hash muchas veces) para ralentizar la fuerza bruta. No obstante, no verá las contraseñas reales en texto sin formato. Incluso cuando el sistema operativo está configurado de tal manera que es posible obtener el texto sin formato de las contraseñas (que no lo es, por defecto), se almacenan en reposo bajo cifrado simétrico, por lo que necesitará obtener la clave de cifrado. . Sin embargo, casi todo el mundo simplemente usa los hashes de contraseña y, por lo general, solo la forma v2 (que, aunque es mala para los estándares modernos, es mucho mejor que las funciones unidireccionales NTLMv1 y anteriores a NT LANMAN).